Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

OpenVPN mit pfSense - Standortkopplung bzw. site-to-site

Frage Netzwerke LAN, WAN, Wireless

Mitglied: RicoPausB

RicoPausB (Level 1) - Jetzt verbinden

09.12.2013 um 10:06 Uhr, 3546 Aufrufe, 2 Kommentare

moinmoin ...

... analog zu meiner Frage http://www.administrator.de/contentid/208726 ...

Ausgangslage:
Wir haben bei Hetzner mehrere Root-Server, die derzeit (noch) via IPsec-Tunnel verbunden sind.
Der dortige DC ist in einem gerouteten SubNet mit öffnentlicher IP hinter einer pfSense.

Jetzt würde ich gerne unsere Aussenstellen und diverse RoadWarrior via OpenVPN dort anbinden.
Das ganze ist dank aqui's Anleitung ( http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ... ) auch schon im Ansatz erfolgreich ...

Was mir allerdings Kopfzerbrechen bereitet ist die DNS-Auflösung.
Der DC verwendet intern die domain "firma.lan", extern eine öffentlich erreichbare domain mit der TLD intra.net, deren DNS bei Hetzner konfiguriert wird.
Die Aussenstellen verwenden aus gewachsenen Strukturen andere Domains und arbeiten in privaten Subnetzen (192.168.x.x)
Ich will nicht den gesamten Traffic über das VPN erfolgen lassen, sondern nur den "firmenspezifischen" aus "firma.lan".

Der Tunnel wird durch die beiden pfSense zwar aufgebaut, aber eine DNS-Auflösung in das VPN findet nicht statt.

Ein tracert mittels IP zum DC läuft über den Tunnel.
Allerdings wird der DC nicht mit dc-name.firma.lan aufgelöst sondern mit seinem öffentlichen FQDN
Eigentlich auch logisch, da ja der DC eine öffentliche IP besitzt und diese über den Standard-DNS der Aussenstelle ja aufgelöst werden kann.

Ich stehe also vor dem Problem, dass ich DNS Anfragen an ein öffentliches Subnetz durch das VPN routen muss, wenn ich das richtig sehe.

Falls jemand eine Idee hat, wie ich das bewerkstelligen kann, ohne an allen Clients den DNS manuell zu ändern, bin ich für jede Schandtat bereit ;)

Der Rico
Mitglied: aqui
09.12.2013, aktualisiert um 12:01 Uhr
Im Tutorial findest du im Kapitel Domain Integration (DNS) die Lösung für dein "Problem".
Das gilt aber nur wenn du auch im internen lokalen LAN des Servers IPs auflösen willst.
Ansonsten nutzt der VPN Client immer den lokal konfigurierten DNS und niemals den der irgendwo im Tunnel oder dahinter liegt ! Wie auch denn dieser ist, folgt man dem Tutorial, gar nicht konfiguriert.
Da du uns aber deine server.conf Datei nicht gepostet hast können wir leider mal wieder nur unsere berühmte Kristallkugel bemühen….
Welchen DNS du nutzt am VPN Client zeigt dieser dir mit einem ipconfig -all an oder eben nslookup.
Bitte warten ..
Mitglied: RicoPausB
09.12.2013, aktualisiert um 13:42 Uhr
die server.conf hatte ich (Asche über mein Haupt ...) vergessen ...
hier wäre sie:
### BEGIN ###
dev ovpns1
dev-type tun
tun-ipv6
dev-node /dev/tun1
writepid /var/run/openvpn_server1.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp
cipher AES-128-CBC
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
local 144.10.20.253
tls-server
server 10.10.10.0 255.255.255.0
client-config-dir /var/etc/openvpn-csc
tls-verify /var/etc/openvpn/server1.tls-verify.php
lport 1194
management /var/etc/openvpn/server1.sock unix
max-clients 10
push "route 78.20.30.160 255.255.255.248"
push "dhcp-option DOMAIN firma.lan"
push "dhcp-option DNS 78.20.30.161"
client-to-client
ca /var/etc/openvpn/server1.ca
cert /var/etc/openvpn/server1.cert
key /var/etc/openvpn/server1.key
dh /etc/dh-parameters.1024
crl-verify /var/etc/openvpn/server1.crl-verify
tls-auth /var/etc/openvpn/server1.tls-auth 0
comp-lzo
route 192.168.0.0 255.255.0.0

push route 78.20.30.160 255.255.255.248
### END ###

ansonsten habe ich nur noch die "client-specific-overrides" mit der iroute versorgt und auf dem client unter dns-forwarder den localen DNS (DC) der Aussenstelle eingetragen

#client-specific-overrides (CN aus dem client vert verwendet)
iroute 192.168.0.0 255.255.255.0

#dns-forwarder auf client site
dc.firma.lan 192.168.0.10

achja ... auf beiden Seiten kommt pfSense in der Version 2.1 zum Einsatz, weshalb ich auch bei einigen Screenshots anfangs verwirrt war ...
Bitte warten ..
Ähnliche Inhalte
Firewall
gelöst VPN Site to Site von IPFire zu Sophos UTM (19)

Frage von touro411 zum Thema Firewall ...

LAN, WAN, Wireless
Pfsense ipsec site to site sehr langsam (18)

Frage von TheOnlyOne zum Thema LAN, WAN, Wireless ...

Router & Routing
gelöst Site to Site VPN mit PfSense - Zugriff auf Remote Netze nicht möglich. (6)

Frage von RRESEARCH zum Thema Router & Routing ...

Firewall
gelöst Site-to-Site-VPN und Cisco VPN-Client von gleicher IP (2)

Frage von TripleDouble zum Thema Firewall ...

Neue Wissensbeiträge
Notebook & Zubehör

WOL bei HP Notebooks

(5)

Erfahrungsbericht von Henere zum Thema Notebook & Zubehör ...

LAN, WAN, Wireless

Neue Cisco Catalyst-Serie 9000

Information von Kuemmel zum Thema LAN, WAN, Wireless ...

Sicherheit

Millionen Euro in den Sand gesetzt?

(3)

Information von transocean zum Thema Sicherheit ...

Heiß diskutierte Inhalte
Windows 10
Netzwerkkarte schaltet sich erst nach dem Logon ein (23)

Frage von DerWoWusste zum Thema Windows 10 ...

Windows Server
Seit IP Umstellung DC DNS Fehler (18)

Frage von Yaimael zum Thema Windows Server ...

Weiterbildung
gelöst Fest angestellter Admin oder Systemhaus Admin mit Kundenbetreuung? (15)

Frage von Voiper zum Thema Weiterbildung ...

Netzwerke
Mobile Einwahl IPSec VPN von iPhone iPad T-Mobile zur Pfsense (15)

Frage von Spitzbube zum Thema Netzwerke ...